Descripción general de Certificate Authority Service

Certificate Authority Service (CA Service) es un servicio de Google Cloud altamente escalable que te permite simplificar y automatizar la implementación, administración y seguridad de las autoridades certificadoras (CA) privadas. Las AC privadas emiten certificados digitales que incluyen identidad de entidad, identidad de entidad emisora y firmas criptográficas. Los certificados privados son una de las formas más comunes de autenticar usuarios, máquinas o servicios mediante redes. Los certificados privados suelen usarse en entornos de DevOps para proteger contenedores, microservicios, máquinas virtuales y cuentas de servicio.

Con CA Service, puedes hacer lo siguiente:

  • Crea AC subordinadas y raíz personalizadas.
  • Define el sujeto, el algoritmo de la clave y la ubicación de la AC.
  • Selecciona una región de la AC subordinada independiente de la región de la AC raíz.
  • Crea plantillas reutilizables y con parámetros para situaciones comunes de emisión de certificados.
  • Usa tu propia CA raíz y configura otras CA para encadenarlas hasta la CA raíz existente que se ejecuta de forma local o en cualquier otro lugar fuera de Google Cloud.
  • Almacena tus claves de AC privadas con Cloud HSM, que está certificado con el nivel 3 del estándar FIPS 140‐2 y se encuentra disponible en varias regiones de América, Europa y Asia-Pacífico.
  • Obtén registros y obtén visibilidad de quién hizo qué, cuándo y dónde, gracias a los Registros de auditoría de Cloud.
  • Define controles de acceso detallados con la administración de identidades y accesos (IAM) y los perímetros de seguridad virtual con los Controles del servicio de VPC.
  • Administra grandes volúmenes de certificados con la certeza de que el servicio de CA admite la emisión de hasta 25 certificados por segundo por CA (nivel de DevOps), lo que significa que cada CA puede emitir millones de certificados. Puedes crear varias CA detrás de un extremo de emisión llamado grupo de CA y distribuir las solicitudes de certificado entrantes entre todas las CA. Con esta función, puedes emitir de manera eficaz hasta 100 certificados por segundo.
  • Administra, integra y automatiza las AC privadas de la manera que te resulte más conveniente: mediante las APIs, Google Cloud CLI, la consola de Google Cloud o Terraform.

Casos de uso de certificados

Puedes usar tus AC privadas a fin de emitir certificados para los siguientes casos de uso:

  • Integridad de la cadena de suministro de software e identidad del código: Firma de código, autenticación de artefactos y certificados de identidad de la aplicación.
  • Identidad del usuario: Certificados de autenticación de clientes que se usan como identidad del usuario para redes de confianza cero, VPN, firma de documentos, correo electrónico, tarjetas inteligentes y mucho más.
  • Identidad de dispositivos móviles y IoT: Certificados de autenticación de cliente que se usan como identidad y autenticación del dispositivo (por ejemplo, acceso inalámbrico).
  • Identidad dentro del servicio: Certificados mTLS que usan los microservicios.
  • Canales de integración y entrega continuas (CI/CD): Certificados de firma de código usados en toda la compilación de CI/CD para mejorar la integridad y seguridad del código.
  • Istio y Kubernetes: certificados para proteger las conexiones entre los componentes de Istio y Kubernetes.

Por qué elegir una PKI privada

En una infraestructura de clave pública (PKI) típica, millones de clientes en todo el mundo confían en un conjunto de autoridades certificadas (CA) independientes para confirmar identidades (como nombres de dominio) en los certificados. Como parte de sus responsabilidades, las AC se comprometen a emitir solo certificados cuando hayan validado de forma independiente la identidad en ese certificado. Por ejemplo, una CA normalmente necesita verificar que alguien que solicita un certificado para el nombre de dominio example.com realmente controle dicho dominio antes de emitirle un certificado. Dado que esas AC pueden emitir certificados para millones de clientes en los que quizás no tengan una relación directa existente, están limitadas a confirmar identidades que se puedan verificar públicamente. Esas CA se limitan a ciertos procesos de verificación bien definidos que se aplican de manera coherente en la PKI web.

A diferencia de la PKI web, una PKI privada suele implicar una jerarquía de AC más pequeña, que una organización administra directamente. Una PKI privada solo envía certificados a los clientes que confían intrínsecamente en la organización para tener los controles adecuados (por ejemplo, máquinas que pertenecen a esa organización). Dado que los administradores de AC a menudo tienen sus propias formas de validar identidades para las que emiten certificados (por ejemplo, emitir certificados a sus propios empleados), no están limitados por los mismos requisitos que para la PKI web. Esta flexibilidad es una de las principales ventajas de la PKI privada sobre la de la Web. Una PKI privada permite nuevos casos de uso, como proteger sitios web internos con nombres de dominio cortos sin requerir una propiedad única de esos nombres, o codificar formatos de identidades alternativas (como IDs de SPIFFE) en un certificado.

Además, la PKI web exige que todas las AC registren todos los certificados que emitieron en los registros públicos de Certificado de transparencia, lo que puede no ser necesario para las organizaciones que emiten certificados para sus servicios internos. La PKI privada permite a las organizaciones mantener la topología interna de su infraestructura, como los nombres de los servicios o las aplicaciones de red, de forma privada para el resto del mundo.

¿Qué sigue?